Открытый банкинг в России
Введение
В открытой модели банки с согласия клиентов обмениваются данными со сторонними сервисами и поставщиками финансовых услуг. Тогда как в закрытой такого взаимодействия нет.
Рассмотрим плюсы и минусы закрытой/открытой моделей. Представим обычного пользователя, который открывает счет в банке. Всевозможные операции — платежи, переводы, получение информации о счете и проч. — он совершает на компьютере или через мобильный телефон.
Когда у клиента открыты счета в разных банках, возникает проблема: ему нужно пользоваться несколькими приложениями, запоминать логины и пароли. Даже чтобы проверить остатки по счетам необходимо последовательно заходить в личный кабинет каждого банка. Если клиенту нужно оплатить товар или услугу, а средств на одном счете недостаточно, он должен открывать другие банковские приложения, пока не найдет счет, с которого можно выполнить платеж.
В закрытой модели обслуживания пользователь, хотя и является законным владельцем своих счетов, может взаимодействовать с ними только из банковских приложений. Альтернативы у него нет, даже если пользователя не устраивает интерфейс или функционал мобильного банка. Как владелец данных банк не позволяет пользователю предоставить доступ к его личным ресурсам «третьей стороне», то есть компании, разрабатывающей финансовые приложения.
Модель обслуживания, использующая открытые банковские интерфейсы, работает принципиально по-иному. В ее рамках пользователь с явного согласия может предоставить доступ к своим данным «третьей стороне». Он перестает зависеть от ограничений, накладываемых банком.
Взглянем на работу внутри открытой модели банковского обслуживания. Пользователь скачивает мобильное приложение, разработанное компанией «третьей стороны», с современным удобным интерфейсом. Теперь он может подключить все счета и пользоваться ими в «едином окне»: достаточно пары секунд, чтобы получить информацию о любом из них, проверить баланс или заказать выписку. Пользователь с легкостью может выбрать банк и нужный счет, с которого удобнее оплатить товар.
Открытая модель обслуживания не сковывает действия пользователя техническими ограничениями банков — он может управлять своими данными и предоставлять доступ сторонним поставщикам финансовых сервисов к информации о своих счетах. Таким образом, клиент сам выбирает, кто и в какой мере обладает доступом к его данным.
Павел Новиков, Директор Sk Fintech Hub: «Стандартизация и открытость — это признаки зрелости рынка или технологии. Open banking, Open API и Embedded Finance решают сразу три задачи — рост качества и многообразия финансовых услуг вместе со снижением стоимости вывода новых продуктов на рынок, что в конечном итоге выгодно для всех участников: пользователей, банков и финтехов.
В Sk Fintech Hub среди 250 стартапов есть сильные игроки по направлению open banking — eKassir, API Bank, Talkbank, Cashoff, Sravni.ru и Banki.ru. Наши банки-партнеры активно участвуют в тестировании новых стандартов с АФТ, среди них Сбер, ВТБ, ГПБ, ПСБ, РСХБ, Тинькофф и ГЛОНАСС. Основные кейсы — получение третьей стороной информации о счете клиента “физика” или “юрика”, инициация третьей стороной повторяющихся денежных переводов, управление финансовыми продуктами на маркетплейсах, получение геопозиции для умного страхования».
Развитие открытого банкинга в России
В 2020 году Банк России опубликовал первые стандарты открытых банковских интерфейсов. Стандарты ЦБ РФ реализуются на площадке Ассоциации ФинТех (АФТ). На площадке АФТ создана среда открытых API и разработан сертификационный стенд. Участники среды открытых API получают возможность обмениваться финансовой информацией, протестировав свое программное обеспечение на соответствие стандартам на сертификационном стенде.
Кирилл Кузьмин, Руководитель направления «Развитие Открытых API» Ассоциации ФинТех: «На площадке Ассоциации Финтех вместе с Банком России и ключевыми участниками финансового рынка мы создаем среду Открытых API. Ее первыми участниками стали банки, которые к настоящему моменту, уже провели пилотирование стандартов Открытых API и реализовали коммерческие сервисы. Сейчас к нам присоединяются и другие участники финансового рынка. Недавно был успешно проведен кросс-отраслевой пилот со страховой компанией. Запланированы проекты с участием финтех-компаний, для которых в среде Открытого банкинга открываются новые возможности. Развитие открытых API позволит создать условия для появления инновационных сервисов и бизнес-моделей и привлечь на финансовый рынок новых игроков, расширит возможности для развития партнерств и кооперации, снизит издержки и риски интеграции, в том числе на кросс-отраслевом уровне».
В рамках проекта АФТ объявила открытый конкурс, победителем которого стала компания eKassir, резидент Фонда «Сколково» — разработчик банковского ПО и комплексных решений по безопасности и аутентификации. eKassir создала большую часть компонентов сертификационного стенда с чистого листа, лишь поддержка протокола безопасности ФАПИ.СЕК стандарта Банка России была реализована за счет доработки “eKassir Access Manager” (система аутентификации и контроля доступа).
Летом 2021 года сертификационный стенд был запущен в промышленную эксплуатацию. Сертификацию на нем уже прошли «Промсвязьбанк» (как финтех), «Точка» (как поставщик платежных услуг) и банк «Синара» (бывший СКБ-банк).
Роли в среде открытых банковских интерфейсов
Стандарты определяют две роли, в которых могут выступать участники среды открытых банковских интерфейсов:
-
Поставщик платежных услуг (ППУ) — банк, в котором у пользователей открыты счета. ППУ предоставляет финтех-компаниям доступ к банковским ресурсам;
-
Сторонний поставщик (СП) — финтех-компания или банк, запрашивающие доступ к финансовой информации у ППУ.
Если проводить параллели с моделью «клиент-сервер», то банки предоставляют API и выступают в качестве сервера, а финтехи — это потребители API, то есть клиенты.
Сторонние поставщики в свою очередь делятся на две роли:
-
СПИУ (Сторонний поставщик информационных услуг) обладают правом получать информацию только в режиме «на чтение». Они могут принимать информацию от ППУ, но не имеют права ее изменять. На практике это означает, что компании получают информацию по счету, но не имеют возможности инициировать платежи/перевод денежных средств.
-
СППУ (Сторонний поставщик платежных услуг) обладают правом инициировать платежи/перевод денежных средств, но не имеют права запрашивать информацию по счету.
Банк может совмещать роли ППУ, СПИУ и СППУ. Финтех-компания может совмещать роли СПИУ и СППУ, но не ППУ.
Среда открытых банковских интерфейсов
Пользоваться открытым банкингом в России могут только те компании, которые прошли техническую проверку своего ПО на соответствие стандартам Банка России и стали доверенными участниками среды открытых банковских интерфейсов. Компании со стороны не имеют разрешения участвовать в открытом банкинге. Право включать и исключать игроков финансового рынка из доверенной среды принадлежит Оператору среды открытых API, которым на время пилотирования среды является Ассоциация ФинТех. А чтобы подключиться к среде открытых банковских интерфейсов, любой компании понадобится пройти проверку своих ИТ-сервисов на стенде, в ходе которой устанавливается, соответствует ли стандартам или нет ее программное обеспечение.
Как обеспечить безопасность
Все информационные сообщения, перемещающиеся в среде открытых банковских интерфейсов, обязательно содержат цифровую подпись. Она идентифицирует автора обращения, а также обеспечивает уверенность в том, что передаваемое сообщение не было изменено. Этим достигается целостность сообщения и неотрекаемость от него — если возникнут споры, источник не сможет утверждать, что не отправлял сообщение.
Цифровая подпись выполняется на основе асимметричного алгоритма и создается закрытым ключом. Этот секретный ключ имеется только у участника среды открытых банковских интерфейсов. Принимающая же сторона валидирует подпись с помощью открытого ключа. Открытый ключ является публичным.
Оксана Ульянинкова, руководитель перспективных проектов в области информационной безопасности Фонда «Сколково»: «Как любая новая технология, открытый банкинг помимо всех явных преимуществ несет в себе и множество рисков информационной безопасности. Лишь комплексный подход и участие всех сторон процесса в обеспечении безопасности позволят противодействовать злоумышленникам. К первоочередным мерам можно отнести безопасность API, стандартизацию протоколов и использование многофакторной аутентификации, процесс контроля за уязвимостями в коде и оперативного их устранения. Важной составляющей безопасности концепции открытого банкинга является использование цифровой подписи, данная технология стала must have практически для всех финансовых операций».
Среда открытых API централизовано хранит открытые ключи всех участников. Если сторона, подлежащая проверке, не находит открытый ключ в центральном хранилище, общение прерывается.
Стандарты открытых банковских интерфейсов
В настоящий момент реализовано и поддерживается на сертификационном стенде два стандарта информационной безопасности и несколько прикладных стандартов. Все вместе это и называется стандартами открытых API.
Первоначальные стандарты:
-
СТО БР ФАПИ.СЕК-1.6-2020 — ФАПИ. СЕК, «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID» — протокол безопасности стандарта Банка России. Позволяет создать ресурс согласия и успешно авторизовать его со стороны пользователя. Определяет требования к криптографии, обязательное использование взаимной аутентификации (mTLS) на транспортном уровне. Задает алгоритмы подписи и шифрования в рамках информационного обмена. Требует привязки сертификата к токену доступа (certificate pinning). Определяет порядок получения идентификационных токенов и токенов доступа.
-
Открытые банковские интерфейсы. Получение информации о счете клиента «третьей стороной» — определяет прикладной REST API для получения информации о счете. С помощью данного API возможно получить остаток по счету, баланс, выписку, транзакции.
-
Открытые банковские интерфейсы. Инициирование перевода денежных средств клиента третьей стороной в валюте РФ — определяет REST API для проведения платежей.
-
Открытые банковские интерфейсы. Общие положения — общие положения, которые применимы ко всем прикладным REST API.
В последствии были дополнены:
-
Стандарт Банка России СТО БР ФАПИ.ПАОК-1.0-2021 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования» — второй стандарт безопасности Банка России. Разработан на основе спецификаций OpenID Connect Client Initiated Backchannel Authentication (CIBA). ФАПИ.СЕК активно применяется в онлайн-сценариях и базируется на использование перенаправлений (redirect). ФАПИ.ПАОК заточен на офлайн-сценарии, когда пользователь лично приходит, например, на пункт выдачи товара и оплачивает его. Либо вообще взаимодействует без визуального интерфейса приложения — допустим, совершает покупку через голосовую колонку.
-
Открытые банковские интерфейсы. Получение публичной информации о банке и его продукте — определяет прикладной API для получения публичной информации о банке. Например, можно получить список и адреса банкоматов или отделений.
Подключение к среде открытых банковских интерфейсов
Ваша организация хочет войти в среду открытых банковских API — как это сделать? На первом шаге необходимо подать кандидатскую заявку в Ассоциацию ФинТех на предоставление доступа к сертификационному стенду. Как только доступ будет одобрен, организация-заявитель получает разрешение на работу с компонентом, известным как Песочница 0.
На этом этапе уже можно начать тестировать программное обеспечение на соответствие прикладным стандартам и ФАПИ.СЕК. Обратите внимание на цифру «0» — она означает, что этот стенд делает послабление в части работы с криптографией, не предъявляя требований к ее реализации. Это помогает кандидатам на участие сконцентрироваться на проверке соответствия своего ПО стандартам открытого банкинга и вынести за скобки довольно трудоемкую работу с криптографией.
Далее через личный кабинет участника ваша организация подает ряд правоустанавливающих документов. Оператор сертификационного стенда (Ассоциация ФинТех) проверяет кандидата, а после успешного окончания — открывает ему доступ к стенду Песочница. Цифры «0» нет, потому что это полноценный стенд, с реализованными стандартами Банка России и криптографией. На этом этапе проводится полноценное тестирование ПО.
Напомним, что в среде открытых банковских интерфейсов два участника: ППУ и СП. Финтех (сторонний поставщик), который реализовал требования стандарта в своем ПО, но не имеет API, получает «образцовый» API от сертификационного стенда. В свою очередь банк, который проходит сертификацию и обладает реализующим API софтом, но не имеет ПО для запроса, получает от стенда «образцовый» клиент, вызывающий API в банке и формирующий журнал с запросами.
Протестировав ПО на стенде Песочница и устранив найденные ошибки, организация вправе считать, что ее софт полностью удовлетворяет стандартам, а значит, может подавать заявление на сертификацию. Процедура сертификации представляет собой набор сценариев, эмулирующих реальную работу со средой открытых API. Важный момент: до начала сертификации точный набор сценариев неизвестен.
Получившая статус участника среды открытых API организация может опубликовать свои сертификаты в центральном хранилище сертификатов — и с этого момента она становится полноценным участником доверенной среды открытого банкинга.
Зачем организациям подключаться к среде открытых банковских интерфейсов
Для финтехов увидеть преимущества подключения к Открытому банкингу увидеть легко. Плюсы для банков не столь очевидны: предоставляя финтехам доступ к пользовательским ресурсам, они делятся с ними информацией, которая прежде находилась в их монопольном владении. Открытые API могут способствовать развитию широкого спектра новых решений по ряду направлений, например:
-
обмен информацией о клиенте (с его прямого согласия) и его учетной записи — для предоставления новых сервисов по управлению финансами в «едином окне» (PFM-сервисы), персонализированных предложений и кредитов;
-
сравнение и выбор финансовых продуктов на платформах-агрегаторах и маркетплейсах;
-
«встраивание» финансовых сервисов и услуг в платформы третьих сторон;
-
бесшовные платежи и операции с финансовыми продуктами.
Но и банки также получат преимуществ от перехода к среде открытого банкинга. Прежде всего, они смогут повысить вовлеченность клиентов, используя разнообразное ПО, предоставляемое финтехами. Предположим, финтех разработал отличный сервис, анализирующий траты клиента с привлечением искусственного интеллекта. Банк может не тратить ресурсы на собственную разработку, а предложить клиентам воспользоваться уже созданным сервисом. В итоге выигрывают все: клиенты получают полезный продукт, банк экономит деньги, а финтех (разработчик программы) получает возможность работать с клиентской базой.
Это критически важный момент. Банки сегодня — это больше, чем классические финансово-кредитные организации, они являются активными и успешными игроками ИТ-рынка. Развитие интернета и мобильных средств коммуникации подтолкнуло их разрабатывать собственное технологичное ПО, сервисы и приложения. Это повлекло серьезные расходы и технические трудности. Кроме того, не каждый банк готов конкурировать с высококлассными приложениями крупных конкурентов.
Подключаясь к среде открытых API, банки получают возможность освободить финансовые и трудовые ресурсы, которые прежде необходимо было вкладывать в разработку сложных фронтальных приложений. Банкам может быть проще и выгоднее передать разработку в руки сторонних финтех-компаний, чтобы в итоге получить хороший продукт, исправно работающий в среде с высокой конкуренцией.
Чем открытый банкинг отличается от частных API банков
Было бы ошибочным отождествлять среду открытых банковских API с частными API, которые банки разрабатывают самостоятельно и называют «открытыми». Это некорректно и вносит путаницу.
Выделим главные критерии среды открытых API:
-
Наличие внешнего регулятора;
-
Наличие единых правил и стандартов;
-
Наличие общей среды для всех участников.
Банки, разработавшие проприетарные программные интерфейсы, не имеют внешнего регулятора. Только банк решает, когда и как изменить API, опубликовать новую версию и так далее — партнерам остается лишь принять правила игры. Банк с проприетарными API самостоятельно заключает договоры с партнерами и полностью контролирует, кто и как может пользоваться их интерфейсами. В любой момент он может отключить партнера от API или перекрыть доступ, а партнеру останется лишь смириться.
Открытый банкинг имеет внешнего регулятора, поэтому о любых изменениях участники извещаются заранее. К тому же, регулятор обязывает поддерживать предыдущую сессию API в течение времени, достаточного для того, чтобы участники среды могли обновить свое ПО.
Среда открытых банковских API предоставляет единое цифровое пространство, где все участники равны между собой. Банки-участники не имеют права ограничивать доступ к своим API. Главное, чтобы все потребители ресурсов входили в среду открытых банковских интерфейсов.
Этот момент весьма важен, так как ответственность за проверку поставщиков финуслуг перекладывается с банков на оператора среды открытых банковских интерфейсов. Отчасти с банков снимается груз правовых вопросов: поскольку проверку всех участников среды открытых API проводит Оператор, которым на время пилотирования выступает Ассоциация ФинТех, то подобные вопросы можно переадресовать ему.
Наличие стандартизированного API открывает рынок для производителей программного обеспечения, поддерживающих стандарты. Банк может приобрести ПО вендора, вместо того чтобы заниматься самостоятельной разработкой. Далее он может пройти сертификацию и войти в состав доверенных участников среды открытых банковских интерфейсов. Посредством этого существенно сокращается time2market, время выхода на рынок новых продуктов или услуг.
Заключение
В заключении давайте еще раз определимся с терминами и их дефинициями.
Открытые API — глобальный мировой тренд, новая модель распространения информации, при котором владелец ресурса (например, клиент банка) получает возможность предоставлять доступ к своему ресурсу третьей стороне.
Открытый банкинг — это Открытые API в секторе финансово-кредитных услуг. Клиенты банка (владельцы банковских ресурсов, таких как счета) получают возможность открывать доступ к своим ресурсам компаниям «третьей стороны» (сторонним поставщикам финуслуг, финтехам и стартапам).
Среда открытых банковских интерфейсов — совокупность всех компаний, прошедших сертификацию на стенде Ассоциации ФинТех и ставших доверенными участниками Открытого банкинга.
Сертификационный стенд среды открытых банковских интерфейсов (или просто «Сертификационный стенд») — портал для участников среды открытых API и для кандидатов в доверенные участники. Стенд позволяет компаниям протестировать свое ПО, на соответствие стандартами, выявить слабые стороны для их дальнейшего устранения и пройти сертификацию.
ППУ (Поставщик платежных услуг) — банк, участник среды открытых банковских интерфейсов, предоставляющий API для получения финансовой информации.
СП (Сторонний поставщик) — финтех-компания или банк, участник среды открытых банковских интерфейсов, потребляющий API ППУ.
Источник: HABR.COM